Microsoft publicó aplicaciones legítimas que los atacantes pueden abusar de ellas para eludir las reglas de seguridad y para infectar la red de las organizaciones a través de vivir de los métodos de ataque terrestre.
Vivir fuera es el método mediante el cual los atacantes utilizan las características del sistema operativo o las herramientas legítimas de administración de redes para comprometer las redes de las víctimas.
Matt Graeber y Oddvar Moe acuñaron "vivir fuera de la tierra", y la intención principal de este proyecto es entender qué binarios fueron los abusos del atacante para llevar a cabo actividades maliciosas.
- LOLBins – Living Off The Land Binaries
- LOLScripts – Living Off The Land Scripts
- LOLLibs – Living Off The Land Libraries
- GTFOBins – Unix Platform Binaries
Los piratas informáticos utilizan herramientas legítimas para mantenerse bajo el radar y evitar las medidas de seguridad establecidas en la organización. Al usar las herramientas de LotL, los atacantes pueden operar de forma sigilosa, lo que hace que el análisis sea un desafío para rastrear la actividad maliciosa.
Microsoft recomienda que bloquee las siguientes aplicaciones si no están en el usuario. "Un atacante puede utilizar estas aplicaciones o archivos para eludir las políticas de inclusión en la lista blanca de aplicaciones, incluido el Control de aplicaciones de Windows Defender".
- addinprocess.exe
- addinprocess32.exe
- addinutil.exe
- bash.exe
- bginfo.exe
- cdb.exe
- csi.exe
- dbghost.exe
- dbgsvc.exe
- dnx.exe
- fsi.exe
- fsiAnyCpu.exe
- kd.exe
- ntkd.exe
- lxssmanager.dll
- msbuild.exe
- mshta.exe
- ntsd.exe
- rcsi.exe
- system.management.automation.dll
- windbg.exe
- wmic.exe
Microsoft proporcionó las reglas de denegación de archivos para todas las aplicaciones enumeradas y recomendó actualizarlas con las últimas actualizaciones de seguridad.
Los actores de amenazas dependen más de abusar de los archivos genuinos del sistema de Windows y logran su objetivo en persistencia, evasión de defensa, movimiento lateral y más.
Fecha actualización el 2021-05-14. Fecha publicación el 2019-05-14. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: gwhackers Version movil